前一篇提到我的滲透測試作業所以利用假日,在家先做功課。
依照一般滲透測試步驟,第一步是蒐集資訊, 結果這兩個網站都不是公司首頁網站,Domain name 是註冊在公司內部的 DNS 伺服器,所以老師教的第一招 Whois 收集相關資訊,馬上被擋掉! :{
其中一網站(暫以A系統稱之)還鎖IP,而且入口是 Load Balance伺服器,跟本無法接觸到真正的Web Server ,想在家裡試著操作也不行,唉! 而且公司有裝 IDS(入侵偵測系統) 跟 WAF(網頁防火牆),對一個初學者而言,這未免防得太緊了吧! 所以第二步,第一次接觸,利用 NMAP 掃描也全被擋掉。
所以第一天完全失敗! 根本沒有收集到有用的資訊,或許都不能用的資訊也是一種資訊吧! 至少知道這些方法是行不通的。
沒有留言:
張貼留言